Blog

Una reflexión sobre el enfoque de gestión de la privacidad del Reglamento General de Protección de Datos (RGPD)

Comentario(s) 0

El 25 de mayo de 2018 será de plena aplicabilidad el reglamento europeo de protección de datos (RGPD), aprobado el 27 de ese mismo mes de 2016. Asimismo, para esa fecha ya estará vigente y será aplicable la nueva ley orgánica española de protección de datos. Así pues, para esa fecha, todos los organismos de la Unión, ya sean públicos o privados, deberán estar adecuados a la nueva legislación.

Esta nueva legislación, que protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de sus datos personales, establece una serie de normas relacionadas con los tratamientos de datos personales y la libre circulación de los mismos.

Que haya requisitos regulatorios alrededor de la privacidad no es nuevo, de hecho, en España todavía son de aplicación las siguientes leyes (que serán derogadas por la nueva legislación):

• Ley Orgánica de protección de datos (LOPD): Ley 15/1999 de 13 de diciembre.

 Reglamento de desarrollo de la LOPD (RDLOPD): Real Decreto 1720/2007 de 21 de diciembre.

Sin embargo, esta nueva legislación, presenta un mayor componente de gestión de la privacidad, o dicho en otros términos, no solo se trata de tener implantados los mecanismos de privacidad (jurídicos, técnicos y organizativos), sino también de gestionarlos.

En el caso de la seguridad de los tratamientos, entendiéndose la privacidad como la confidencialidad de los datos personales, y entendiendo la confidencialidad como una de las dimensiones de la seguridad de la información (junto con la disponibilidad y la integridad), estaríamos hablando de gestionar la seguridad de la información de los datos personales.

Y ¿cómo se enfoca esta gestión en el RGPD? Pues como en cualquier otro sistema de gestión: a través de un ciclo de mejora continua. Este ciclo de mejora utilizado en sistemas de gestión como, por ejemplo, el SGSI (Sistema de Gestión de Seguridad de la Información) basado en la norma ISO 27001, se basa en el ciclo de Deming (PDCA: Plan-Do-Check-Act).

Así pues, para ayudar a identificar las medidas de seguridad de los tratamientos de datos personales, habrá que empezar haciendo un análisis de riesgos del tratamiento para los derechos y libertades de las personas físicas, que servirá para determinar cuáles son las medidas de seguridad que mitigan los riesgos no aceptables. Estas medidas de seguridad, junto con otras que emanen del estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, servirán para planificar los mecanismos de protección del tratamiento, es decir, el PLAN del ciclo de mejora.

La implantación de estas medidas, junto con la supervisión continua que el delegado de protección de datos tiene entre sus funciones, representarían de alguna forma el DO y CHECK. Las actuaciones que, a la luz de esta supervisión y bajo posibles violaciones de seguridad, deban acometerse, constituirían el ACT. Asimismo, ante nuevos tratamientos que puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas, se deberán realizar evaluaciones de impacto, es decir, volver a repetir el ciclo de mejora.

Este enfoque de la seguridad de los tratamientos orientada a riesgos coincide con los requisitos del SGSI – ISO 27001 y con otros requisitos regulatorios de seguridad, en particular con el Esquema Nacional de Seguridad “ENS” (RD 3/2010 modificado por el RD 951/2015).

Por lo tanto, en una organización en la cual deba implantarse el RGPD, el ENS y/o la norma ISO 27001, se podrá realizar un análisis de riesgos conjunto, que integre las amenazas de seguridad con las que suponen los tratamientos de datos personales para los derechos y libertades de las personas físicas. La propia herramienta de análisis de riesgos PILAR (Programa Informático Lógico de Análisis de Riesgos) ya incluye esta posibilidad.

Además, en el caso de las Administraciones Públicas, el propio proyecto de ley de protección de datos menciona las medidas de seguridad del ENS en relación a la seguridad del tratamiento, sirviendo como un argumento más para realizar un proceso de análisis de riesgos conjunto RGPD – ENS.

Las soluciones que ofrece Ingenia en relación al cumplimiento normativo del RGPD sigue precisamente el enfoque descrito en este post, ofreciendo, por un lado, el ciclo completo de mejora continua (PDCA), y por otro, el enfoque multinorma, en el cual se aprovechan las sinergias y coincidencias entre las distintas normas y leyes aplicables, a modo de simplificar los esfuerzos tanto de implantación como de mantenimiento. También ofrecemos de modo externalizado los servicios de "Data Protection Officer" (DPO).

 

 

 

 

   

Elisa García
Responsable de negocio de Consultoría y Seguridad TI
INGENIA